Von Loveletter und anderen Computerviren
Werbung
Gefährliche Liebespost. Von Loveletter und anderen Computerviren Ein Beitrag des ZDV zur Reihe „What‘s love“ Im Rahmen des Tages der offenen Tür 2002 Referent: Stefan Röhle, ZDV Zentrum für Datenverarbeitung Rechenzentrum der Universität Zentrale Einrichtung der JoGu Dienstleistungen für Studenten und Mitarbeiter E-Mail, Internetzugang, Speicherplatz Kurse, Online-Learning Scannen, Posterdruck, DTP Verleih: Digitale Kameras, Beamer Datensicherung, Virenschutz Administration zentraler und verteilter Rechner Weitere Infos: Stand alte Mensa, NatFak (N) www.zdv.uni-mainz.de Gefährliche Liebespost. Von Loveletter und anderen Computerviren, 14.02.2002 Übersicht 1. 2. 3. 4. 5. Was sind Computerviren? Wie verbreiten sich Computerviren? Wie kann ich mich davor schützen? Zusammenfassung Links (Verwendete Quellen: In den Links angegebene Webseiten) Gefährliche Liebespost. Von Loveletter und anderen Computerviren, 14.02.2002 1. Was sind Computerviren? Programme (oder Skripte), die sich selbst vervielfältigen können und oft Schadfunktionen (malicious code) enthalten. Bootsektor Viren Parasitische Viren („klassischer“ Virus) Würmer Trojanische Pferde (Trojaner) Hoaxes Makro-Viren (Word, Excel etc.) Gefährliche Liebespost. Von Loveletter und anderen Computerviren, 14.02.2002 Allgemeine Schadwirkungen Löschen von Daten Datenkorruption Datendiebstahl Beanspruchung von Ressourcen Gefährliche Liebespost. Von Loveletter und anderen Computerviren, 14.02.2002 Hoaxes (1/2) (Hoax: Scherz, Falschmeldung) E-Mails, die zur Weiterleitung animieren, und deren Inhalt zweifelhaft ist. Viruswarnungen Glücksbriefe, Kettenbriefe „Make money, fast!“ (Pyramidensystem) „Tränendrüsen-Briefe“ Gefährliche Liebespost. Von Loveletter und anderen Computerviren, 14.02.2002 Hoaxes (2/2) Schadwirkung Verunsicherung der Benutzer Zeitverschwendung Erhöhtes Mailaufkommen durch Schneeballsystem (Kettenbriefe), vergleichbar mit „echten“ Viren Maßnahme Löschen der E-Mail! Gefährliche Liebespost. Von Loveletter und anderen Computerviren, 14.02.2002 Trojaner Klassische Trojanische Pferde sind Programme, die vordergründig nützlich sind, im Hintergrund aber ihre wahren Aktivitäten entfalten. Moderne Trojaner führen nur noch unbemerkt ihre Schadfunktionen im Hintergrund aus. Gefährliche Liebespost. Von Loveletter und anderen Computerviren, 14.02.2002 Würmer Würmer erstellen Kopien von sich und verbreiten sich selbst z.B. über das Netzwerk oder per E-Mail. Gefährliche Liebespost. Von Loveletter und anderen Computerviren, 14.02.2002 2. Wie verbreiten sich Computerviren? Ohne Benutzer Nutzen Schwachstellen im Netzwerk aus Nutzen Schwachstellen in Software aus Durch „Hilfe“ des Benutzers Anklicken des E-Mail-Anhangs Ausführen von heruntergeladenen Programmen Dabei wird der Benutzer meist getäuscht und ausgetrickst, damit er den Virus aktiviert! Gefährliche Liebespost. Von Loveletter und anderen Computerviren, 14.02.2002 Viren TOP TEN Quelle: http://www.sophos.com/virusinfo/topten/ Gefährliche Liebespost. Von Loveletter und anderen Computerviren, 14.02.2002 Loveletter (alias LoveLet-A) Entdeckt im April 2000 Über E-Mail verbreitet Subject: „ILOVEYOU“ Message: „kindly check the attached LOVELETTER coming from me“ Attachment: LOVE-LETTER-FOR-YOU.TXT.vbs Trick Ausnutzen der unterdrückten Dateiendung bei Standardinstallation - das Attachment erscheint nur als LOVE-LETTER-FOR-YOU.TXT Dadurch Tarnung eines Skriptes als Textdatei Gefährliche Liebespost. Von Loveletter und anderen Computerviren, 14.02.2002 Loveletter Bei Ausführen des Attachments passiert folgendes... Erstellt Kopien von sich auf der Festplatte Hinzufügen von Registry-Einträgen, damit der Trojaner bei Systemstart automatisch ausgeführt wird Ersetzt und löscht Dateien (lokal und im Netzwerk!) picture.jpg -> picture.jpg.vbs, Original gelöscht .vbs Dateien durch Kopie von sich ersetzt music.mp3 -> Attribut ‚hidden‘ -> music.mp3.vbs LOVE-LETTER-FOR-YOU.HTM wird an IRC versendet Verschickt sich selbst an alle Benutzer im Outlook-Adressbuch Download eines Passwort-Schnüffelprogramms (Trojaner) ebenfalls in Registry eingetragen zum automatischen Start schickt Passworte an [email protected] Gefährliche Liebespost. Von Loveletter und anderen Computerviren, 14.02.2002 BadTrans-B (Platz 1 Januar) ausführbare Datei als E-Mail Attachment Eintrag in Registry E-Mail Versand per Outlook Message: „Take a look at the attachment“ Attachment: zufällig aus Liste, z.B. fun.pif, docs.scr, Me_nude.AVI.pif Antwortet auf gelesene und ungelesene Mails Verschickt sich an Adressen, die in .asp, .ht* Dateien gefunden werden Verwendet Absender aus Liste, z.B. [email protected], [email protected] Antwortadresse wird leicht geändert, so dass Reply unmöglich ist Subject: Re: Attachment: aus Liste, z.B. docs.DOC.pif, Humor.MP3.scr installiert Keylogger (Trojaner) Gefährliche Liebespost. Von Loveletter und anderen Computerviren, 14.02.2002 MyParty-A (Platz 2 Januar) ausführbare Datei als E-Mail Attachment Subject: „new photos from my party!“ Message: „Hello! My Party... It was absolutely amazing! I have attached my web page with the new photos! If you can please make color prints of my photos. Thanks“ Attachment: Datei www.myparty.yahoo.com 25.-29.1.2001 Kopie von sich an jeden in Windows Adressbuch verschickt Win9x/ME: Kopie von sich nach C:\Recycled\regctrl.exe + ausführen derselben WinNT/2K/XP: Kopie nach C:\regctrl.exe + ausführen derselben; Kopie der Datei MSSTASK.EXE in Ordner „Autostart“ (Backdoor Trojaner) Gefährliche Liebespost. Von Loveletter und anderen Computerviren, 14.02.2002 Sircam-A (Platz 4/Januar, Platz 2/2001) 1/2 Verbreitung per E-Mail oder offene Netzwerk-Freigaben Versand von E-Mail über eigene SMTP Routine Adressen aus Windows Adressbuch Text aus Liste auf Englisch oder Spanisch Subject: zufällig, siehe Attachment Message: „Hi! How are you? I send you this file in order to have your advice. See you later. Thanks“ Attachment: Dateiname identisch mit Subject, doppelte Endung, z.B. .doc.com, .mpg.pif Achtung: Versendet Dokumente des Users aus „Eigene Dateien“! Gefährliche Liebespost. Von Loveletter und anderen Computerviren, 14.02.2002 Sircam-A 2/2 erstellt Kopie von sich nach \Windows\System\sirc32.exe und ebenfalls versteckt in den Papierkorb (auch im Netz) Eintrag in Registry zum Start beim Systemstart Kopie in Windows-Verzeichnis von verbundenem Rechner (Platz 4/Januar, Platz 2/2001) rundll32.exe -> run32.exe, Viruscode -> rundll32.exe Modifikation der autoexec.bat zum Aufruf der Datei aus Papierkorb weiterer Schadcode 1:50 Chance, dass Datei Sircam.sys in Papierkorb erzeugt wird und gefüllt wird, bis Festplatte voll ist Glück: weitere Schadfunktion enthält Bug... Gefährliche Liebespost. Von Loveletter und anderen Computerviren, 14.02.2002 Nimda-A 1/2 Verbreitung per E-Mail, Netzwerk-Freigaben und Websites Befallene E-Mails (Platz 5/Januar, Platz 1/2001) enthalten zufälliges Subject, Attachment meist „README.EXE“ Versuch, Sicherheitslücke in Microsoft Outlook, Microsoft Outlook Express oder Internet Explorer auszunutzen (Versand ohne Hilfe des Users) Virus verschickt sich an Adressen, die er auf Rechner findet (Outlook, Outlook Express, HTML-Dateien) Kopien des Attachments in Windows-Verzeichnis load.exe und riched20.dll (Attribut „versteckt“) lokal und im Netzwerk Modifikation der system.ini, damit Virus bei Windowsstart ausgeführt wird Gefährliche Liebespost. Von Loveletter und anderen Computerviren, 14.02.2002 Nimda-A (Platz 5/Januar, Platz 1/2001) 2/2 gibt jedes lokale Laufwerk frei kopiert sich auf alle freigegebenen Laufwerke in jedes Unterverzeichnis (im .eml Format) infiziert .exe Dateien Suche nach „verwundbaren“ IIS Dann: Infektion per Webseite „Code-Upload per Sicherheitsloch“ Port-Scanning erzeugt viel Traffic an .asp, .htm, .html Seiten wird JavaScript Code angefügt, der zuvor abgelegte E-Mail (README.EML) öffnet und so den betrachtenden Client infiziert und, und, und... Aber: Kein Schadcode!!! Gefährliche Liebespost. Von Loveletter und anderen Computerviren, 14.02.2002 Motivation der Virus-Autoren Ansehen bei „Kollegen“ Machtgefühl in Cyberwelt „Proof of concept“ (ohne Schadfunktionen) Forschung (?) Vergleichbar: Graffiti, Vandalismus Allerdings ist der verursachte Schaden viel größer! Gefährliche Liebespost. Von Loveletter und anderen Computerviren, 14.02.2002 3. Wie kann ich mich davor schützen? Virenscanner installieren! Mailprogramm sicherer machen! Bugfixes installieren Scriptingfunktionen deaktivieren (WSH, JavaScript,...) Anlagen/Downloads nicht unüberlegt doppelklicken/ausführen Dokumentformate mit Makroinhalt vermeiden! regelmäßiges Update! Material aus „unsicheren“ Quellen scannen, ggf. löschen System regelmäßig scannen Kein .doc / .xls, sondern .txt, .rtf Versteckte Dateiendungen sichtbar machen! Regelmäßig Backups anfertigen! Erst denken, dann klicken! Gefährliche Liebespost. Von Loveletter und anderen Computerviren, 14.02.2002 4. Zusammenfassung Virus ist ein Oberbegriff Austricksen der Benutzer Gefährliche Liebespost. Von Loveletter und anderen Computerviren, 14.02.2002 5. Links www.nai.com www.sophos.com www.f-secure.com www.trojaner-info.de www.tu-berlin.de/www/software/hoax.shtml www.wildlist.org www.virusbtn.com Gefährliche Liebespost. Von Loveletter und anderen Computerviren, 14.02.2002 Das war‘s! Vielen Dank für Ihre Aufmerksamkeit und noch viel Spaß an der Johannes-Gutenberg Universität! Gefährliche Liebespost. Von Loveletter und anderen Computerviren, 14.02.2002
